Este artículo forma parte de una serie que pretende mostrar a los profesionales de la ciberseguridad las lecciones aprendidas por las víctimas de ciberataques. Cada lección incluirá recomendaciones sencillas, muchas de las cuales no requieren que las organizaciones adquieran ninguna herramienta.
De acuerdo con el Sophos Active Adversary Playbook 2021, los ciberdelincuentes están recurriendo a herramientas que los administradores de TI y los profesionales de seguridad utilizan habitualmente, lo que dificulta la identificación de acciones sospechosas. Muchas de estas herramientas son detectadas por productos de seguridad como “aplicaciones potencialmente no deseadas” (o PUA / PUP / RiskWare / RiskTool) y los equipos de TI las utilizan diariamente. Los defensores deben hacerse dos preguntas importantes: (1) ¿Todos mis usuarios deben poder usar estas utilidades? (2) ¿Es necesario que estas utilidades se puedan ejecutar en todos los dispositivos?
¿Qué es una PUA?
Analicemos qué es una “Aplicación potencialmente no deseada” y cuál es la mejor manera de utilizarla de forma segura. Las herramientas de administración que se incluyen con un sistema operativo, como PowerShell, brindan formas de automatizar y administrar dispositivos en una red. También existen herramientas adicionales y de terceros que se utilizan con frecuencia para ampliar la funcionalidad, como escaneo de puertos, captura de paquetes, scripting, monitorización, herramientas de seguridad, compresión y archivo, cifrado, depuración, pruebas de penetración, administración de red y acceso remoto. La mayoría de estas aplicaciones se ejecutan con acceso de nivel de sistema o raíz.
Cuando el propio equipo de TI instala y utiliza internamente, estas aplicaciones son herramientas útiles. Cuando las instala y utiliza cualquier otra persona, se consideran aplicaciones potencialmente no deseadas (PUA) y, a menudo, las soluciones de seguridad de endpoint las señalan como tales. Para poder usar estas herramientas sin obstáculos, muchos administradores simplemente agregan las que usan a una Exclusión global o Lista de permitidas en su configuración de seguridad de endpoint. Desafortunadamente, este método de exclusión también permite la instalación y uso de las herramientas por personas no autorizadas, muchas veces sin ningún tipo de supervisión, alerta o notificación.
PUA problemáticas
Algunas de las aplicaciones no deseadas más comunes encontradas y utilizadas por los adversarios incluyen:
- PSExec – “… un sustituto de telnet que pesa poco y permite ejecutar procesos en otros sistemas, con total interactividad para aplicaciones de consola, sin tener que instalar manualmente el software del cliente. Los usos más potentes de PSExec incluyen el lanzamiento de indicaciones de comando interactivas en sistemas remotos y herramientas de habilitación remota como IpConfig que de otra manera no tienen la capacidad de mostrar información sobre sistemas remotos”.
- PSKill: puede “cerrar procesos en sistemas remotos. Ni siquiera se tiene que instalar un cliente en el ordenador de destino para usar PSKill para finalizar un proceso remoto”.
- Process Hacker: una herramienta de monitorización de recursos, que a menudo se usa para cerrar el software de seguridad y registro.
- Anydesk / TeamViewer / RDPWrap, o cualquier herramienta diseñada para acceso remoto, especialmente a través de Internet, puede ser utilizada por un ciberdelincuente.
- GMER: diseñado como una herramienta anti-rootkit, los ciberdelincuentes aprovechan sus capacidades para “desenganchar” el proceso de seguridad.
- 7Zip / GZip / WinRar: los ciberdelincuentes utilizan las herramientas de compresión para combinar, reducir y exfiltrar los datos, generalmente para extorsión.
- Herramientas de Nirsoft: una colección de herramientas para la recuperación de contraseñas, la desinstalación de software y la capacidad de ejecutar herramientas de línea de comandos sin mostrar una interfaz de usuario.
- IOBit: tiene potentes capacidades de desinstalación y se usa a menudo para eliminar software de seguridad.
- ProcDump: una herramienta de depuración que puede volcar memoria en el disco, lo que permite a un ciberdelincuente exponer datos en memoria, como credenciales.
Uso de aplicaciones no deseadas por parte de los ciberdelincuentes
La configuración de la política de seguridad para permitir aplicaciones no deseadas debe manejarse con cuidado. Excluir cualquier cosa expondrá las herramientas a los administradores de TI y a los ciberdelincuentes por igual, y no tendrá visibilidad del uso de la herramienta, ni de la intención ni del contexto.
Si una herramienta ha sido excluida, un actor de amenazas aún puede intentar instalarla y usarla incluso si aún no está instalada en un dispositivo en particular. El conjunto de técnicas de confrontación conocidas como “living off the land” involucra a los actores de amenazas que utilizan características y herramientas preexistentes para evitar la detección durante el mayor tiempo posible. Permiten a los actores de amenazas llevar a cabo el descubrimiento, el acceso de credenciales, la escalada de privilegios, la evasión de la defensa, la persistencia, el movimiento lateral, la recolección y la exfiltración sin que se levante una sola bandera roja.
Para cuando el adversario está listo para implementar la última etapa del ataque – impacto (por ejemplo, la carga útil del ransomware) – ya es demasiado tarde, las herramientas de seguridad ya han sido deshabilitadas (¿por PSKill o IOBit?), se ha obtenido un alto nivel de acceso de credenciales (¿por GMER o ProcDump?), los datos ya han sido transferidos a la dark web (¿en archivos 7Zip?) y el malware preposicionado en sistemas clave (o peor aún, archivos compartidos a nivel de dominio como SYSVOL o NETLOGON) listos para su ejecución (¿por PSExec?). Cuantas más PUA encuentren los atacantes, mayor será la superficie de ataque con la que podrán trabajar.
Permitir aplicaciones no deseadas
El primer paso es revisar sus exclusiones globales actuales. ¿Necesitan estar ahí? ¿Hay alguna razón para la exclusión o simplemente “siempre ha estado ahí”? Realiza una investigación sobre por qué el producto de seguridad detectó la PUA en primer lugar ¿podría ser usado maliciosamente? ¿Es necesario que las exclusiones se apliquen a TODOS los servidores y dispositivos? ¿Sigue siendo necesaria la herramienta de administración o podemos utilizar una función incorporada? ¿Necesitas más de una herramienta para lograr el mismo resultado?
Nuestra recomendación es permitir las aplicaciones no deseadas de forma muy controlada: aplicación específica, máquinas específicas, tiempos específicos y usuarios específicos. Esto se puede lograr mediante una política de exclusión específica, que se aplica y luego se elimina según sea necesario. Cualquier uso detectado de PUA que no esperado debe investigarse, ya que puede indicar que un ciberdelincuente tiene acceso a su entorno.